Teil 2: Bewegungsmelder und Überwachungskameras – Die Augen des Sicherheitssystems

Ein gut gesichertes Gelände verfügt nicht nur über Zäune, Tore und Pförtner, sondern auch über Bewegungsmelder und Überwachungskameras, die verdächtige Aktivitäten erkennen und Alarm schlagen, wenn sich jemand unbefugt auf dem Gelände bewegt. In der IT übernimmt diese Aufgabe ein Intrusion Detection System (IDS) bzw. ein Intrusion Prevention System (IPS).

Überwachungssysteme werden eingesetzt, um unerwartete oder verdächtige Bewegungen zu registrieren. Sobald eine Kamera eine Person innerhalb des videoüberwachten Bereichs erkennt oder ein Bewegungsmelder eine Aktivität meldet, sollte das Sicherheitspersonal reagieren. Diese Reaktion kann zunächst eine genauere Prüfung des Sachverhaltes oder auch eine sofortige Intervention sein. Vergleichbar funktionieren IDS und IPS:

Ein IDS überwacht den Datenverkehr und erkennt verdächtige Aktivitäten – beispielsweise Port-Scans. Es fungiert als Frühwarnsystem und schlägt Alarm, wenn z. B. ein ungewöhnliches Datenmuster entdeckt wird. Das Prinzip ist ähnlich wie bei einer Überwachungskamera, die einen Wachmann auf eine ungewöhnliche Bewegung oder ein Muster hinweist.

Ein IPS geht noch einen Schritt weiter: Es erkennt nicht nur Bedrohungen, sondern blockiert aktiv verdächtige Verbindungen oder Angriffe, ähnlich wie ein Bewegungsmelder, der sofort einen Alarm auslöst, über den das Sicherheitspersonal informiert wird. Eine SQL-Injection-Attacke (Einschleusen von Datenbankbefehlen) kann beispielsweise direkt blockiert werden, sobald sie erkannt wird.

Ohne IDS und IPS bleiben Angriffe möglicherweise unerkannt oder es wird nicht reagiert. Ohne Echtzeitwarnungen über verdächtiges Verhalten bleiben Sicherheitslücken entweder offen oder die Reaktionszeit ist (viel) zu lang.

Das Zusammenspiel der verschiedenen Schutzebenen
Wie zuvor deutlich wurde, ist Sicherheit nur dann wirksam, wenn sie ganzheitlich und in mehreren Schichten gedacht wird. Einzelne isolierte Maßnahmen reichen nicht aus. Jede der vorgestellten Komponenten hat ihre spezifische Aufgabe und ist ein wichtiger Baustein eines Sicherheitskonzepts:

• Die Firewall (Vgl. Teil 1 der Serie) ist der digitale Schutzzaun, der den ersten Kontakt mit potenziellen Angreifern regelt und unerwünschte Zugriffe blockiert.
• Network Access Control (NAC) fungiert als Pförtner, der die Identität jedes „Besuchers“ prüft und nur autorisierte Geräte bzw. Nutzer ins Netzwerk lässt.
• Log-Dateien und Überwachungsprotokolle übernehmen die Rolle der stillen Wächter, die im Hintergrund alles aufzeichnen und so eine nachträgliche Analyse von Vorfällen ermöglichen.
• ISD/IPS sind die aktiven Überwachungssysteme, vergleichbar mit Bewegungsmeldern und Kameras, die Eindringlinge aufspüren und im Fall des IPS-Angriffsversuchs sogar automatisch blockieren können.

Gemeinsam sorgen die Schutzebenen dafür, dass potenzielle Gefahren möglichst früh erkannt und abgewehrt werden. Entscheidend ist dabei das Ineinandergreifen dieser einzelnen Schutzmaßnahmen. Alle Komponenten müssen aufeinander abgestimmt sein. Eine Lücke in einer Schicht kann sonst alle anderen Sicherheitsmaßnahmen aushebeln. Wer langfristig eine wirksame Verteidigung sicherstellen will, muss alle Ebenen im Blick behalten und diese fortlaufend an neue Bedrohungsszenarien anpassen. Schließlich nützt die beste Firewall nichts, wenn ein Angreifer z. B. direkt an den Serverraum gelangen kann, um dort das Netzwerk unmittelbar zu manipulieren. Umgekehrt können Schwachstellen in der Gebäudeinfrastruktur, die z. B. durch smarte Gebäudetechnik entstehen, an die das Unternehmensnetz angebunden ist – neue Angriffspunkte für Cyberkriminelle eröffnen. Die Risiken, die sich aus dem fehlenden oder lückenhaften Zusammenspiel zwischen IT und Gebäude ergeben, sind vielfältig:

• Ein Angreifer kann sich unter Umständen physischen Zugang zur Hardware verschaffen, indem er ein schlecht gesichertes Fenster oder einen Notausgang nutzt. Auf diese Weise kann er alle Firewall-, NAC- und Intrusion-Detection-Systeme umgehen.
• Alternativ kann ein Angreifer digitale Manipulationen einsetzen, um physische Sicherheitsmechanismen zu überwinden und sich so Zugang zu einem Gebäude zu verschaffen.